В результатах поиска Bing обнаружен серьезный недостаток безопасности. К счастью, больше страха, чем вреда.
Недавно была обнаружена серьезная уязвимость системы безопасности. Это позволяет экспертам целенаправленно изменять результаты поиска Bing. Уязвимость была обнаружена в январе прошлого года компанией по кибербезопасности Wiz, которая немедленно сообщила о ней в Центр реагирования Microsoft Security Response Center (MSRC).
В результатах поиска Bing обнаружена серьезная уязвимость системы безопасности
В разговоре в Твиттере исследователь Wiz Хиллай Бен-Сассон объяснил, как ему удалось взломать систему управления контентом (CMS) Bing. Подключившись к облачной платформе Microsoft Azure, он обнаружил, что может предоставить всем пользователям доступ к внутренним приложениям фирмы из Редмонда. Затем он получил доступ к базе данных результатов поиска Bing. Оттуда Хиллай Бен-Сассон нашел способ изменить то, что появляется в результатах, по желанию.
Исследователи Wiz также обнаружили, что Bing уязвим для атаки с использованием межсайтовых сценариев (XSS), и обнаружили, что у них есть доступ к конфиденциальным данным Office 365, включая электронные письма Outlook, из календаря и сообщения из Teams. MSRC подробно описал соответствующие обновления безопасности и поделился передовым опытом для разработчиков и администраторов Azure в записи блога .
К счастью, больше страха, чем вреда
Целью экспериментов этих исследователей было показать, что это возможно, и поделиться этим с Microsoft. Но это также показывает, как хакеры могут навредить Bing. «Злоумышленник с таким же доступом мог захватить самые популярные результаты поиска, используя ту же процедуру, и тем самым выдать данные миллионов пользователей», — говорится в сообщении в блоге Wiz.
К счастью, больше страха, чем вреда, так сказать, серьезного ущерба, похоже, не было нанесено. Microsoft подтвердила, что эта уязвимость была устранена в минувшие выходные. И в то же время Виз получил награду в размере 40 000 долларов от своей программы по поиску ошибок за сообщение об ошибке. Компания объявила, что пожертвует его организации по своему выбору.
Я взломал @Bing CMS, что позволило мне изменить результаты поиска и завладеть миллионами учетных записей @Office365 .
Как я это сделал? Ну а все началось с простого нажатия на @Azure … ?
Это история #BingBang ?⬇️ pic.twitter.com/9pydWvHhJs
— Хиллай Бен-Сассон (@hillai) 29 марта 2023 г.